تسمح هجمات القيادة والسيطرة للمتسللين بالاستيلاء على شبكات كاملة أو تحويل أجهزة الكمبيوتر الفردية إلى جيش من الروبوتات التي يمكنهم استخدامها في العطاءات الخاصة بهم. ربما تكون قد سمعت عنها مؤخرًا عندما عطلت الولايات المتحدة الروبوتات "Cyclops Blink" من خلال اختراق بعض الأجهزة المصابة وإزالة البرامج الضارة الموجودة على متنها ، ولكن إليك ما يجب أن تعرفه عن هذه الهجمات.
ما المقصود بهجوم القيادة والتحكم؟
تحدث الهجمات الإلكترونية (C2 أو C&C باختصار) والتحكم فيها عندما يتسلل الفاعلون السيئون إلى نظام ويثبتون برامج ضارة تتيح لهم إرسال أوامر عن بُعد من خادم C2 إلى الأجهزة المصابة. غالبًا ما يصيب أول جهاز مصاب تلقائيًا أي أجهزة أخرى يتصل بها ، لذلك في حالة وجود شبكة احترافية ، يمكن وضع نظام بأكمله تحت سيطرة المهاجم بسرعة.
هناك عدد لا يحصى من الطرق التي يمكن للمهاجمين من خلالها إصابة جهاز ، ويمكنهم تنفيذ العديد من أنواع الهجمات (تفتح في نافذة جديدة) بمجرد دخولهم النظام. وفقًا لشركة الأمن السيبراني Palo Alto Networks (تفتح في نافذة جديدة) ، فإن أكثر من 80٪ من البرامج الضارة تستخدم نظام اسم المجال (DNS) لتحديد خوادم C2 لسرقة البيانات ونشر البرامج الضارة.
كيف يعمل C2؟
أولاً ، يجب على المهاجم الحصول على برامج ضارة داخل النظام المستهدف. يمكن أن يكون ذلك عبر أساليب الهندسة الاجتماعية مثل رسائل البريد الإلكتروني المخادعة أو الإعلانات المزيفة التي تؤدي إلى مواقع ويب ضارة أو المكونات الإضافية والتطبيقات المشبوهة للمتصفح. غالبًا ما تستخدم هذه الأحداث الأحداث الجارية أو الثقافة الشعبية لجذب انتباه الناس ، من COVID-19 إلى ألعاب الفيديو. في بعض الحالات ، يخترق المهاجمون نظامًا ماديًا بشيء مثل محرك أقراص USB يحمل برامج ضارة.
عندما يقوم شخص ما عن غير قصد بتنزيل برامج ضارة عن طريق النقر فوق ارتباط أو تثبيت تحديث برنامج يبدو أنه مشروع ، فإنه يرسل أمرًا محددًا مسبقًا إلى الخادم المضيف ، غالبًا من خلال طرق نقل موثوقة ولا تخضع للمراقبة عن كثب. DNS هو أحد هذه المسارات.
بمجرد إرسال الأمر ، يصبح الجهاز المصاب "روبوتًا" ، زومبي رقمي تحت سيطرة المهاجم. ثم ينشر البرامج الضارة إلى الأجهزة الأخرى وتحولها إلى ها في برامج الروبوت ، وتوسيع منطقة سيطرة المهاجم ، وإنشاء شبكة من الروبوتات ، أو "الروبوتات".
تم تصميم العديد من هجمات C2 بحيث لا يتم اكتشافها لأطول فترة ممكنة ، خاصة عند سرقة البيانات. وفقًا لـ Palo Alto Networks ، تشمل الاستخدامات الشائعة الأخرى لـ C2 (يفتح في نافذة جديدة):
-
اختطاف أجهزة الكمبيوتر المضيفة لتعدين العملة المشفرة
-
إتلاف البيانات
-
اغلاق الاجهزة بما في ذلك الشبكات بالكامل
-
إعادة تشغيل الأجهزة المصابة عن بعد لتعطيل عمليات النظام
-
ضرب الشبكات المصابة بهجمات الحرمان الموزع للخدمة (DDoS)
يمكن أيضًا استخدام C2 لتشفير البيانات واحتجاز الأنظمة كرهينة في هجمات برامج الفدية.
من السهل تخيل مدى الكارثة التي يمكن أن تكون عليها إذا تمكن المهاجم من السيطرة على نظام حرج ، مثل شبكة كمبيوتر مستشفى أو منشأة لمعالجة المياه ، وأغلقه. نظرًا لأن المزيد والمزيد من الأجهزة والأنظمة مثل المرافق العامة يتم ربطها بإنترنت الأشياء (IoT) ، فإن الدفاع ضد هجمات C2 يعد أمرًا بالغ الأهمية.
كيف يتم تنظيم هجمات القيادة والتحكم
في الأيام الأولى للإنترنت ، كان المهاجمون يمتلكون خادمًا فعليًا تحت سيطرتهم ، ويوجهون الهجوم من هناك. اليوم ، يتم توجيه العديد من هجمات C2 من خوادم في السحابة.
في بعض الأحيان ، يستخدم المهاجم خادمًا واحدًا سيرسل البرنامج الضار رسالة إليه للحصول على الإرشادات. يمكن التخفيف من ذلك بسهولة ، حيث يمكن اكتشاف عنوان IP لخادم C2 وحظره لمنع المزيد من الاتصالات. ومع ذلك ، إذا استخدم المهاجم وكلاء لإخفاء عنوان IP الحقيقي الخاص به ، يصبح الدفاع أكثر صعوبة.
بشكل أكثر شيوعًا ، سيستخدم المحتالون خوادم متعددة لشن هجوم. قد يكون هناك عدة خوادم تقوم بتشغيل نفس الهجوم للتكرار في حالة إزالة أحدها ، أو مجموعات من الخوادم مرتبة في تسلسل هرمي.
يمكن للمهاجمين أيضًا توجيه أجهزة الكمبيوتر المصابة في الروبوتات للعمل كشبكة نظير إلى نظير (P2P) ، والتواصل مع بعضها البعض بشكل عشوائي بدلاً من خادم مركزي. هذا يجعل من الصعب اكتشاف مصدر العدوى. وفقًا لشركة DNSFilter المُصنّعة لبرامج الأمن السيبراني ، غالبًا ما يتم استخدام هذا الأسلوب معًا (يفتح في نافذة جديدة) مع هجوم خادم واحد - إذا تم إزالة الخادم ، فإن خيار P2P موجود كنسخة احتياطية.
موصى به بواسطة محررينا
هل تحتاج إلى جدار حماية شخصي؟ ما هو هجوم Zero-Click؟ ما هي مآثر وهجمات Zero-Day؟كيفية الدفاع ضد هجوم C2
في حين أن فكرة سيطرة شخص آخر على نظامك أمر محزن ، فهناك بعض الأشياء التي يمكنك القيام بها للدفاع عن نفسك.
الأول هو التعليم. درب أي شخص لديه إمكانية الوصول إلى شبكتك على أساليب الهندسة الاجتماعية التي يستخدمها غالبًا المهاجمون الإلكترونيون. بمجرد أن يعرف الناس العلامات ، يصبحون أقل عرضة للخداع. أظهر لهم كيف تبدو رسالة البريد الإلكتروني للتصيد الاحتيالي ، وكيفية تقييم التنزيل من أجل الأمان ، وما إلى ذلك.
ثانيًا ، استخدم جدار الحماية. على الرغم من أنه لن يحمي من العناصر السيئة الموجودة بالفعل داخل نظامك ، إلا أنه سيساعد في إبعاد الأشخاص الذين لا يستطيعون الخداع في طريقهم. تحد جدران الحماية من البيانات التي يمكن أن تدخل وتخرج من الشبكة ، ويمكن تهيئتها لتنبيهك إلى عناوين URL وعناوين IP مشبوهة.
توصي مدونة الأمن السيبراني Tripwire أيضًا بتجزئة الشبكة (تفتح في نافذة جديدة) كإجراء وقائي. سيؤدي تقسيم شبكتك إلى شبكات فرعية أصغر يمكنها التحدث مع بعضها البعض فقط داخل مجموعتها الخاصة إلى منع أي برامج ضارة تتجاوز دفاعاتك الأخرى من الانتشار على نطاق واسع. يستخدمون مثال أنظمة نقاط البيع (POS) في متاجر البيع بالتجزئة. لا يمكنهم التحدث إلا إلى عدد محدود جدًا من الأجهزة الأخرى على الشبكة ، لذلك حتى إذا دخلت برامج كشط بطاقة الائتمان ، فلن تتمكن من نقل البيانات المسروقة بعيدًا جدًا.
لا ينطبق هذا على هجمات C2 فحسب ، بل ينطبق أيضًا على أي تهديد إلكتروني. التعليم والدفاع الجيد ليسا مضمونين ، لكنهما يقطعان شوطًا طويلاً نحو منع الهجمات وخروقات البيانات.